Search Results: WEP (1119)

    眾多網絡攻擊點之中,端點是最令 IT 人員頭痛的,因為實在太多,而且越來越多,如何管理呢?所以要有 UEM(Unified endpoint management)。我地請教 IBM 香港資訊安全業務經理 Ricky Ho,為大家講講 UEM 嘅精髓。 了解隱藏成本是第一步 端點管理需要面對很多難題,Ricky Ho 指出,這些難題導致管理成本高昂,而且延伸更多隱藏成本。「首先是太多工具,有些機構甚至用上 20 個端點管理工具。然後是能見度問題,試問有幾多個 IT 能清楚知道公司總共有幾多個端點裝置?更枉論用緊哪個…

    每逢有網絡保安事故,本地傳媒都會即時搵保安專家評論事件。這些被行家視為「傳媒好友」的專家不多,因為解答不單要快,意見亦要準確簡短,才能幫助記者搶先報導事件。如果言論能再帶有一點幽默感,自然更易成為傳媒寵兒。香港互聯網協會網絡保安及私隱小組召集人楊和生就是其中之一,原來當初他踏入電腦界全因為懶,誰不知現在卻是最忙的職業。 輸在起跑線 早於 1990 年讀大專一年級時,楊和生已開始接觸電腦,「那時讀電腦工程,喜歡寫電腦程式只因為懶,因為發現有很多重複性的工作毋須人手處理,例如要處理一大堆文件檔案的排版,其實只須編寫簡單的程式,就可交由電腦自動執行。」令他沉迷鑽研電腦程式的原因,除了他宅宅的沒有其他嗜好,還與他的電腦設備輸在起跑線有關,「以前無錢,所以第一部電腦的硬件配備比同學差很多,例如別人的電腦用 386 (Intel 處理器型號)、1MB RAM,我就只用 286 及 640KB RAM,連電腦屏幕也只得黑白。」眼見朋友的電腦可以做到很多東西,楊和生亦想試試自己那部弱弱的電腦可否做出接近的效果,所以便花了很多時間練習寫程式,蒲深水埗黃金電腦商場買書自學一些破解技術,「當時完全無黑客的概念,只是有興趣試試修改程式,例如修改電腦遊戲內的生命值、武器防具等,雖然自己完全沒有打機的嗜好……」 後來有朋友移民美國,楊和生為了保持通訊而連上互聯網,才從不同渠道認識黑客這回事,「不過那年代接觸的黑客技術並非以破壞為目的,只是大家互相分享一些程式的漏洞,例如當時互聯網供應商使用的 FreeBSD 作業系統,就有各式各樣的破解玩意,雖然有些成功有些失敗,但我已可讀取到其他用家的電郵地址及內容。」掌握到這些個人私隱,有心人其實已可利用來進行社交工程(Social Engineering)攻擊,楊和生則笑說可能自己沒有犯罪基因,所以即使讀取到伺服器內的電郵內容,也僅僅是滿足了自己的成功感,未能發現偉大的「錢途」。 大專時經常蒲黃金的結果,就讓楊和生認識了一班「砌機佬」,後來其中一個相熟的店員在商場內另起爐灶,順理成章便邀請他一同開檔。「那時賣電腦很好賺,一套電腦可賺取四成利潤,有時講價可以減到幾百蚊,不似現在只賺到百多元,想平幾蚊都難。」賣電腦的好處,就是可以接觸最新的電腦資訊,同時以平價入貨,「所以第二部電腦已是當時頂級的 486,一下子由最慢變成最快。」無論上學或兼職都與電腦有關,讓他打穩了電腦編程的根基,所以出來工作後,編寫程式的技術及速度亦較人高及快。 隱密攻擊…

    以為資料庫保安好嚴密?其實盲點處處!去年資安事故中不乏大公司資料外洩,除證明黑客攻擊越趨嚴重,更證明「人類總要重複同樣的錯誤」,再大嘅團隊都有盲點。其實,不少資安事故屬於可避免的,本文內容節錄自與 IBM 香港資訊安全業務經理 Ricky Ho 嘅訪問,教你認清 5 大資料庫保安盲點,Ricky 更就 5 大盲點提供相關建議,協助大家防患於未然,學嘢喇。 5 大資料庫保安盲點。 盲點一:安全方案訊息七國咁亂 不少企業 IT 都面對一個典型狀況:IT 環境及訊息不斷變動及擴展,今日出個 App,聽日又話搞 IoT,後日就來…

    日本的情報通信研究機構(National Institute of Information and Communications Technology,NICT)、Panasonic 連同廣島大學於 2 月 19 日宣布成功研發出一款超高速無線通訊晶片(Terahertz (THz) Transceiver),傳輸及接收能力達到 80 Gbps!超越即將來臨嘅 5G 規範! Terahertz Band(兆赫波段)為未來超高速無線通訊領域,跟據…

    小米米家電動滑板車以「自由穿行,一路美景」、「簡約幾何設計,1 分鐘輕鬆上手」、「30 公里超長續航」、「雙重剎車系統」、「便攜折疊」為賣點,售價 1,999 人仔,非常吸引。這款平靚正電動滑板車亦廣受用家愛戴,國內外米粉以此自由穿行,一路美景。 不過,《The Hacker News》收到手機安全公司 Zimperium 的報告,發現小米米家電動滑板車 M365 存漏洞,可讓黑客輕易控制電動滑板車,危害駕駛者性命。 隨 M365 電動滑板車使用的手機程式「智能管家」可以通過藍芽連接,化為儀表板,對當前騎行速度、剩餘電量等進行實時查看,對滑板車進行固件升級。手機程式亦可設定密碼、反偷車,更可發出指令,匹配設定的速度,作定速巡航。 「智能管家」可以通過藍芽連接電動滑板車,化為儀表板。 不過,研究員發現密碼設定只在手機程式端有效,而滑板車端並不作憑證狀態追蹤。如電動滑板車密碼設定不當,可讓黑客於 100 米範圍以藍芽發出未受權的指令。如黑客心懷不軌,可以發出非常危險的指令,令電動滑板車突然鎖車、加速、剎車,亦可載入惡意程式完全控制電動滑板車。 Zimperium…

    全數被刪!收費電郵服務供應商 VFEmail 周一於網站首頁公告,遭受災難性催毀!所有資料通通被洗劫一空! VFEmail 官網聲稱遭受一名黑客「[email protected]」攻擊,並將於美國的所有資料包括原始資料及備份資料全數刪掉,現時電郵系統已重啟,唯只能提供非常基本的功能。VFEmail 已積極搶修,但似乎未能救回資料,以及用戶信心。 美國用戶開啟電子郵箱,將會發現郵箱空空如也! 網站首頁以紅色字款標示遭受洗劫,並宣告新電郵系統已重啟,新收件箱、Webmail、Note-mailbox 已從新運作。但只能提供基本功能,並非有過瀘功能,沒有垃圾郵件過濾,用戶可自行啟動 Horde 過濾。VFEmail 警告免費用戶切勿嘗試發送電郵!亦無法保證美國用戶現有的電郵情況。如有電郵客戶,亦切勿嘗試搶救!如果將電郵客戶重新聯繫到新郵箱,本地郵箱即會遺失!網站警告各位「後果自負」! VFEmail 官網首頁公告災難。 據報導,VFEmail 亦未收過任何勒索或警告,攻擊是在無任何預警之下的突襲。 VFEmail 由 Rick Romero…

    資料外洩事故頻繁,就算自己明明盡力把關,奈何第三方又唔生性外洩資料,究竟自己個密碼有否被黑?一般都要靠 HaveIBeenPwned.com 之類查詢網站,Google 推出官方擴充功能 Password Checkup,可在用戶帳號密碼外洩時,主動通知用戶,必更受用戶愛戴。 Google 官方日前推出新擴充功能 Password Checkup,啟動之後,用戶於任何網站登入,只要輸入的使用者名稱和密碼,Password Checkup 都自動與 Google 超過 40 億個已知的外洩資料作對比,一但發現安全疑慮,即會傳送警示通知用戶更改密碼。 當然,第一個疑問就係:咁 Google 咪知我個密碼囉?咁又點保障呢?Google 方面解釋,設計…

    最近在不同的電車站,都看到「為香港・搏到盡」幾個剛勁有力的大字,原來這是阿里巴巴集團旗下的雲計算平台阿里雲最新的宣傳主題。公司自 2014 年以來已在本港設立兩個數據中心,多年來大力推動香港企業數碼化轉型,這輯宣傳展示了幾個本地知名企業的應用實例 ,包括英皇金融集團及香港快運航空。 「在我們看來,金融跟物流業是支撐香港經濟的中流砥柱,在全球也處於領先地位,這兩家香港本地企業,在各自領域都做得非常出色,而同樣都選用了阿里雲的安全產品。阿里雲亦希望通過我們的雲端和 AI技術為行業客戶帶來業務裨益。」 安全不僅僅是針對雲端,而是整個業務流程 劉彬星指出,現時大部份客戶採用雲端跟 AI 技術時,都非常關注技術的安全性。「安全不僅僅是針對雲端技術,而是不同企業本身的整個業務流程,有沒有安全可控的解決方案。」阿里雲服務範疇涉獵甚廣,從網絡、服務器、應用、業務安全到安全管理服務一應俱全,為企業提供 Anti-DDoS、WAF (網頁應用系統防火牆)等解決方案,同時亦有團隊專責進行全面的滲透測試,更在全球多個地區設立大流量的 DDoS 雲清洗中心,服務極之全面。「其實概念很簡單,上雲就等於你把錢放在銀行的保險箱,我們的防衛能力一定比客戶自己構建的更牢固、更可靠,才能讓客戶信任我們。 」 劉彬星,阿里雲港澳及韓國區總經理:阿里平台每天都抵禦非常多的網絡攻擊, 確保幾億消費者放心愉悅地使用服務,所以說「十年攻防,一朝成盾」。阿里雲將阿里巴巴集團內的最佳實踐方案,商業化推送至客戶。 十年攻防,一朝成盾 「以英皇金融為例,作為一個交易網站,講求的是彈性擴充的能力,我們的 Elastic…

    香港《個人資料(私隱)條例》早於 1996 年生效,是亞洲首個全面保障市民私隱的條例,我們,曾經很先進。「但那是二十年多前的事。其他後來者如日本、新加坡則與時並進,不斷修訂,而香港就原地踏步,猶如在用二十年前的電話,很落後。」莫乃光從事資訊科技及電訊業二十多年,見證業界發展,作為立法會議員, 開口埋口都是政策。「政府要改變做事方法,要知道今日的網絡世界如何,要更新政策,拖延下去絕非香港之福。」 香港,未 ready 「香港現在面對的網絡安全問題,基本上與全世界都一樣,其實重點是應對的準備是否足夠,而我覺得香港未足夠。」莫乃光所講的準備,是預防事故發生、準備程度、警力、法例、罰則等。「單是政策及法例,已經有很多需要改善的地方。現在很混亂,例如政府可以用那條法例檢控網絡入侵呢?《電訊條例》用過一兩次,檢控不法偷用電視機頂盒訊號;《截取通訊及監察條例》呢?只能用於本地執法部門,不適用於其他罪犯。再問下去,『不誠實取用電腦』又範圍太闊,實際拘捕最多的可能是偷拍裙底的罪犯。」莫乃光指出,香港現行法例並沒有一條具針對性。檢控方面未完善,至於阻嚇及預防方面,亦有不足。 條例修訂困難重重 私隱條例訂立至今未有大改,原地踏步,尤其對照歐盟 GDPR 更見分野。「GDPR 對個人資料有新定義,香港的定義仍然沿用二十年前的;GDPR 罰則嚴厲,可達公司全年收入的 4%,具阻嚇作用。另外,香港私隱專員的權力、檢控權都很薄弱,都必須檢討。」可喜的是自從國泰等事故之後,政府承諾會在第一季檢討相關政策,研究修訂條例。「不過,過程亦困難重重,凡是會提高成本的條例,商界很多時就本能地反對。而似乎政府害怕商界的反對聲音,多於緊張對市民或消費者的保護。」以往不少條例如商品說明、競爭法等的推動都停滯不前,比其他地方明顯特別落後,是有其原因的。 莫乃光,資訊科技界立法會議員。 政府要支援企業 莫乃光認為政府應該做的另一樣事情,是對企業的支援。「政府投放於創科的金額可以過千億,但沒有任何資助用在網絡安全上。中小企雖然可以申請科技劵,但資助用於改善系統以增強競爭力,就沒有資源做好網絡保安,所以政府應該開出特定的金額,幫助他們做好網絡保安的工作。」莫乃光對政府的評價也並非全盤負面,對警察的執法能力就相當肯定。 支持警方擴軍,籲增透明度 「我覺得警方具備了足夠的能力應對網絡罪案,警方特別擴充部門,成立網絡安全及科技罪案調查科,人手亦每年遞增,我絕對支持。」近年網絡罪案數字不斷上升,加強警力非常合理。「我相信罪犯都明白,今時今日在網上犯案搵錢很容易,風險亦較低。唔通仲揸支槍去打劫?」莫乃光認為唯一的不足,是部門的透明度很低。「其實我沒有足夠資料去討論細節,因為透明度很低。我認為警方可以多與業界及專家交流,讓大眾對警方更有信心。」 網絡安全立法有其利弊…